安全资讯 第17页
聚合当前分类下的最新内容,按时间顺序查看第 17 页精选文章。
一个充电宝,为什么会变成定时炸弹?Casely 再次召回背后的锂电池安全警报
美国配件品牌 Casely 再次重申对一款无线充电宝的召回,原因已经不只是“发热风险”,而是现实中发生了爆炸、机舱起火,甚至导致一名 75 岁女性死亡。它提醒我们的,不只是别买杂牌充电宝,而是整个移动电源行业在“轻薄、磁吸、快充”狂奔时,电池安全仍然是最脆弱也最容易被忽视的一环。
欧洲警方给7.5万人群发邮件:别再花钱买DDoS攻击了
欧洲刑警组织这次的动作很特别:不是只抓平台经营者,而是直接给7.5万名疑似“下单打网站”的用户发邮件和信件,明着告诉他们“我们知道你是谁”。这说明网络执法正在从“打掉黑产工具”转向“震慑整条需求链”,而DDoS这种门槛极低的攻击方式,也正在进入更精细化的治理阶段。
“远程打工人”背后的国家级骗局:两名美国人帮朝鲜潜入上百家公司,最终获刑
美国司法部日前宣布,两名美国公民因协助朝鲜政府运作“假 IT 员工”计划而分别被判 7 年半和 9 年监禁。这起案件真正令人后背发凉的,不只是 500 万美元的非法收入,而是它揭示出:在远程办公和全球化招聘时代,企业的人力系统、设备管理和国家安全,已经被一条看似普通的“外包链路”悄悄打通了。
Bluesky“半宕机”:一次攻击,把去中心化社交的软肋和希望都照了出来
Bluesky 本周遭遇持续性服务异常,官方高管将原因指向拒绝服务攻击,用户最直观的感受是:页面时而能开,时而报错,热门信息流几乎“堵车”。这件事不只是一次短暂故障,它更像一场压力测试——去中心化社交是否真比传统平台更有韧性,现在到了该拿结果说话的时候。
挪威也要拦住16岁以下孩子:年龄验证正在把互联网改成“查证件入口”
挪威政府计划在年底前向议会提交法案,限制16岁以下儿童使用社交媒体;它还没成为法律,但已经把全球年龄验证争议推得更具体。真正的分水岭不是“让不让孩子上网”,而是国家是否要逼平台为未成年人入口、身份验证和算法成瘾承担硬责任。
一件衣服没送到,先把隐私送上网了:Express 订单漏洞敲响零售业警钟
美国服装零售商 Express 近日被曝因网站安全漏洞,将用户订单确认页直接暴露在互联网上,姓名、电话、地址和部分支付信息都可能被他人查看。这不是一场“黑客大片”式攻击,而是更让人无力的那种低级失误:系统设计不严谨、漏洞报告渠道缺失、企业回应也不够透明,而这恰恰是当下零售业最常见、也最危险的安全短板。
AI 不再只会写代码:Codex 被研究人员带进三星电视,真的拿到了 root
这不是一篇“AI 自动黑掉电视”的夸张标题党,而是一场更值得行业警惕的实验:研究人员给 Codex 搭好操作环境、开放真实设备和匹配源码后,它一步步把三星电视浏览器里的落脚点推进成了 root 权限。真正震撼的地方不在于某个漏洞本身,而在于 AI 已经开始具备“像安全研究员一样试错、修正、再推进”的能力。
当开源撞上 AI 攻击:Cal.com 关掉代码仓库,敲响了一个时代的警钟
日程预约平台 Cal.com 宣布从开源转向闭源,理由并不复杂:AI 正在把漏洞挖掘和攻击自动化,公开代码库越来越像把保险库结构图挂在门口。这不是一家公司的技术路线调整那么简单,它折射出一个更大的行业问题——在 AI 时代,开源的透明与安全的边界,正在被重新划定。
囚室天花板上的“黑客机房”:美国监狱这场离谱漏洞,暴露的不是犯人聪明,而是系统太松
美国俄亥俄州一所监狱里,囚犯竟利用回收拆解项目拼装出两台电脑,并悄悄藏进培训室天花板接入监狱网络。这起听上去像电视剧桥段的事件,真正刺眼的地方并不是犯人的“技术天赋”,而是监狱在数字化管理时代对设备、网络和权限的控制,脆弱得超乎想象。
Windows Recall 又被撬开一道门:微软把保险库锁紧了,却忘了看送货车
安全研究员最新发布的“TotalRecall Reloaded”表明,Windows 11 的 Recall 虽然在数据库加密和 Windows Hello 认证上补了大洞,但数据一旦被合法解锁,仍可能在传输链路上被“搭车”截取。微软认为这不算漏洞,但这恰恰暴露了 Recall 最大的尴尬:它的核心风险,从来不只是加密够不够强,而是它记录的内容本身太多了。
瑞典热电厂险遭“破坏性”黑客攻击:当网络战开始瞄准锅炉、阀门和冬天的暖气
瑞典政府公开指责与俄罗斯情报和安全机构有关联的黑客,曾在 2025 年试图入侵一座热电厂并实施“破坏性”攻击,所幸被内置防护机制拦下。这件事真正让人不安的地方,不在于一次未遂入侵本身,而在于欧洲关键基础设施正在从“被骚扰”走向“可能被直接熄火”——网络攻击的目标,已经不只是数据,而是现实世界里的供暖、供电和日常生活。
Flock 的隐私问题升级了:从车牌删不掉,到儿童体操房摄像头被拿去做演示
Flock Safety 的争议不再只是“车牌数据能不能删除”。佐治亚州邓伍迪的公开记录显示,Flock 员工曾访问儿童体操房、泳池、学校、游乐场等敏感摄像头,并用于产品测试、调试和销售演示。真正的问题是:城市把居民空间接入商业化警务平台后,谁还有能力划边界、担责任、叫停访问?
30分钟攻破一家诊所系统:AI“氛围编程”把医疗数据送上了网
一位瑞士技术博主讲述了自己亲历的“AI 氛围编程”事故:一家医疗机构用 AI 代码代理匆忙搭建患者管理系统,结果把病历、录音和敏感隐私几乎裸奔在公网。它刺痛人的地方不只是安全漏洞本身,而是越来越多人把“AI 能写出来”误认为“系统就能上线”,尤其当数据是患者隐私时,这种误判的代价可能极其昂贵。
Lean 证明它没问题,结果 AI 还是挖出了漏洞:形式化验证没有失灵,只是边界露了出来
一位开发者把经过 Lean 形式化验证的 zlib 实现丢给 AI 和模糊测试器,跑了 1.05 亿次后,没有在已验证的应用代码里发现内存漏洞,却在 Lean 运行时里炸出了一个堆缓冲区溢出。这不是“形式化验证翻车”,恰恰相反,它清楚地展示了一个行业现实:证明很强,但证明永远有边界,真正危险的往往藏在你默认信任的那一层。
骗局公司最怕的不是警察,而是信用卡拒付:一场“用更多欺诈掩盖欺诈”的科技黑产案
美国一名技术支持公司老板因为拒付率太高,没去整顿诈骗业务,反而设计了一套“自己给自己刷单”的金融伪装系统,用更多假交易把真实受害者的投诉淹没。这个案子刺痛人的地方在于,它揭开了一个现实:很多网络诈骗并不靠高深黑客技术,靠的是支付链路、客服话术和平台监管缝隙的精密配合。
Vercel 遭入侵后,真正该重看的不是云平台,而是 AI 工具拿走了多少权限
Vercel 证实发生安全事件,入口不是平台新功能本身,而是一款被攻破的第三方 AI 工具通过 Google Workspace OAuth 成了跳板。这让原本围绕“AI 时代卖云开发地皮的公司先受益”的叙事,多了一层更现实的约束:当 AI 开始深入开发和办公流程,最脆弱的地方往往不在主系统,而在那些被当作提效插件接入的工具层。
Rockstar再上泄露名单:官方称影响有限,但Anodot事件把云令牌风险又撕开了一次
Rockstar Games出现在Anodot客户数据泄露事件的受影响名单中,官方称仅有少量、非实质性公司信息被访问,不影响运营和玩家。真正需要更新的判断是:这次问题不只是“又一家厂商被黑”,而是黑客借Anodot持有的认证令牌,顺着第三方连接器进入十多家客户的云数据环境,把单点失守放大成了集体勒索风险。
西班牙球赛一开,Docker 就拉不下来:一场反盗播封锁,正在误伤整个互联网
西班牙开发者最近发现,比赛一开始,连最基础的 `docker pull` 都可能失灵。表面上这是一起反盗版执法的技术误伤,实际上它暴露了一个更危险的趋势:当运营商和内容方用“封 IP”这种粗糙手段治理互联网时,被破坏的不只是看球盗播链路,还有云服务、开发基础设施,甚至普通人的安全设备。
当 AI 走进诊室:一场加州诉讼,把“看病隐私”重新推上手术台
加州患者起诉 Sutter Health 和 MemorialCare,指控其在未充分告知和取得同意的情况下,使用 Abridge AI 记录并处理医患对话。这起诉讼不只是隐私纠纷,更像是给医疗 AI 行业踩下了一脚急刹车:技术能替医生省时间,但不能默认替患者放弃秘密。
当匿名发言撞上大陪审团:美国政府为何盯上一个批评 ICE 的 Reddit 用户
这不是一起普通的平台取证事件,而是一次对“匿名政治表达”边界的正面试探。相比公开传票,动用大陪审团意味着政府把一场原本可见的法律争议,推进到了更隐秘、也更令人不安的轨道上。
FISA 702 续期争议升级:到期未必停机,真正漏洞在后门检索和买数据
美国国会围绕 FISA 702 续期继续僵持,但关键不只是 4 月 30 日会不会到期。最新线索把问题推得更具体:即便法条名义失效,FISC 既有认证也可能让相关监控项目继续运行到 2027 年 3 月;真正该看的,是国会能否限制无令检索美国人通信,并禁止政府购买美国人商业位置数据。